Il principio “Privacy by Design” è noto da anni ed è stato oggetto della risoluzione adottata dalla 32ma Conferenza mondiale dei Garanti privacy nel 2010. Il GDPR all’art. 25 disciplina il principio “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” forse più noto come “Data protection by design and by default”. È necessaria una premessa. La riservatezza, la “privacy”, in Europa è un diritto fondamentale ai sensi dell’art. 7 (Rispetto della vita privata e della vita familiare) della Carta dei Diritti Fondamentali dell’Unione europea che recita:
Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.
La formulazione della disposizione citata presenta un concetto di privacy molto ampio che, incentrato sulla persona, spazia dalla vita privata e familiare, al domicilio e alle comunicazioni. Il successivo articolo 8, comma 1, dispone:
Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
È evidente che i due diritti sono del tutto differenti. Negli Stati Uniti, invece, si è soliti prospettare il tema in termini di “Data privacy and protection”, ossia riservatezza e protezione dei dati personali. In sostanza con l’espressione “data privacy” sembra che negli USA si restringa - rispetto all’Europa - l’oggetto della riservatezza, restando circoscritta solo ai dati personali. Ciò posto, il GDPR all’art. 25 disciplina la protezione dei dati fin dalla progettazione e per impostazione predefinita. Si tratta di un principio importante in quanto la sua violazione espone il titolare del trattamento alla sanzione dall’art. 83, par. 4 (fino a 10.000.000 di euro). Per un approfondimento sulla PbD o DPbDbD, si rinvia al mio ultimo volume dal titolo “GDPR & privacy: consapevolezza e opportunità. Analisi ragionata della protezione dei dati personali tra etica e cybersecurity”.
Cos’è IRMA?
IRMA è un progetto della Privacy by Design Foundation. Il 21 febbraio 2019 il prof. Jacobs ha presentato alla “The Royal Institution” di Londra il progetto IRMA.
Il prof. Jacobs ha spiegato che il progetto IRMA si incentra sulla identità elettronica (eID) e, in particolare, sia sulla opportunità che essa sia sempre sotto il diretto controllo dell’interessato, sia, al contempo, sulla possibilità per chi gestisce piattaforme online di essere certi sulla identità di colui il quale intende accedervi. Il progetto IRMA è ambizioso e viene presentato con il punto di forza di essere conforme al GDPR e specificamente nel rispetto del principio indicato nell’art. 25.
Attualmente, l’accesso ad alcune piattaforme online viene consentito mediante il “social login”, ovvero attraverso l’account dei principali social network (Facebook, Linkedin e Twitter). Questa modalità, al di là di aspetti connessi alla sicurezza delle informazioni personali, può comportare anche rischi anche per la profilazione degli utenti.
Infatti, quando l’utente accede ad una piattaforma online utilizzando il “social login” autorizza il social network (es. Facebook) a fornire al servizio di cui si intende fruire le proprie informazioni personali. Il provider del servizio acquisirà le informazioni del social network con cui l’utente ha consentito l’accesso.
La documentazione di IRMA descrive il progetto nei termini seguenti:
“IRMA is a set of software projects implementing the Idemix attribute-based credential scheme, allowing users to safely and securely authenticate themselves as privacy-preserving as the situation permits. Users receive digitally signed attributes from trusted issuer, storing them in their IRMA app, after which the user can selectively disclose attributes to others"
In sostanza, come illustrato nella documentazione ufficiale del progetto, dal il flusso che viene utilizzato è il seguente:
Uno degli aspetti di maggior rilievo è la c.d. electronic identity (eID), posto che chi offre il servizio ha necessità di identificare l’utente che intende accedere alla piattaforma online e alcune volte verificare l’età dello stesso. IRMA è un software open source e il codice sorgente è a disposizione di chiunque in modo che sia possibile valutare quali sono i processi.
Altro aspetto, evidenziato dal prof. Jacobs, riguarda l’accesso alle piattaforme che decideranno di adottare IRMA. Qualora l’utente intendesse accedere ad una piattaforma che ha aderito al progetto IRMA e sulla quale è stato implementato il relativo servizio, invece di utilizzare il social login, lo steso utente può utilizzare l’app dal proprio smartphone per leggere un QRcode generato dalla medesima piattaforma. Infatti, attraverso l’app - sviluppata un’app per dispositivi mobile sia per Android sia per iOS - l’utente effettua una richiesta al server di IRMA che, da quanto risulta dalla documentazione del progetto, provvede ad assegnare un random session token consentendo all’utente di conservare unicamente sul proprio dispositivo i dati e le informazioni personali necessarie per l’accesso alle piattaforme.
La caratteristica di lasciare i dati personali sul device dell’utente e di non trasferirli sulla piattaforma che eroga il servizio, secondo il prof. Jacobs rende il progetto compliance con l’art. 25 del GDPR.
tratta di un progetto ambizioso che, però, richiede la disponibilità dei gestori delle piattaforme di adottarlo. In Italia, com’è noto esiste il Sistema Pubblico di Identità Digitale - SPID attraverso il quale è possibile “accedere a tutti i servizi online della Pubblica Amministrazione con un’unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone”.
Se SPID è riservato alla PA, nel privato potrebbe essere interessante applicare IRMA. Ho chiesto al prof. Jacobs se è prevista una implementazione dil progetto IRMA su blockchain, probabilmente potrebbe avere un valore aggiunto.